Desde hace más de diez años estamos oyendo hablar del despliegue de la legislación concerniente a la protección de las infraestructuras críticas. También somos partícipes, de una u otra manera, de la importante evolución que ha provocado esta planificación estratégica en la ciberseguridad de las principales organizaciones del país.
De la misma forma, se ha hecho necesario articular la contribución de agentes externos a las organizaciones, como son los cada vez más demandados centros de operación de seguridad, los organismos reguladores de referencia (Centro Nacional de Protección de Infraestructuras y Ciberseguridad e Instituto Nacional de Ciberseguridad, entre otros) o las Fuerzas y Cuerpos de Seguridad del Estado. Todos ellos contribuyen, de forma certera, en los ámbitos en los que las propias organizaciones no son capaces de llegar.
No obstante, tener conciencia de esta positiva evolución no implica tener también la certeza de que todavía no ha terminado el trabajo. En un mundo digital, el avance de las ciberamenazas en materia de ciberseguridad evidencia la necesidad de mejorar la protección de las infraestructuras desde las que se prestan los servicios críticos a la ciudadanía.
Pero conforme avanzamos en la materia, nos damos cuenta y somos más conscientes de la dificultad a la que nos enfrentamos. Por un lado, el desarrollo de los planes estratégicos sectoriales nos arroja cada vez nuevos operadores e infraestructuras críticas. Y por otro, si profundizamos en los niveles de protección de dichos operadores, nos damos cuenta de que los riesgos avanzan mucho más rápido que las medidas de protección. Comprobamos así que las ciberamenazas mutan, en ocasiones, hacia vectores de ataque no considerados o que presentan matices no contemplados. Todo ello, sin tener en cuenta la dificultad de articular mecanismos de colaboración entre tantos actores involucrados.
Nuevos actores
En los operadores críticos aparecen nuevos actores y, por lo tanto, se hace necesario definir nuevos roles que deben velar por la ciberseguridad en entornos como los que manejan los sistemas industriales y productivos. En este contexto, la protección de estos sistemas toma una importante relevancia en ciberseguridad, no considerada hasta la fecha, y alguien debe tomar responsabilidad sobre ello.
Además, a lo largo de estos años, y fruto de trabajar en este ámbito, nos damos cuenta de que la seguridad de una infraestructura crítica es una responsabilidad compartida entre diferentes áreas; pero estas necesitan trabajar de forma más coordinada y constructiva que nunca.
La opinión pública constata que se producen ataques de ciberseguridad que ponen «en jaque» a muchas organizaciones, y con los que todas ellas tiemblan ante los impactos y consecuencias que pueden provocar. Se dejan en evidencia riesgos cuya solución, en ocasiones, es difícil abordar por el coste que representa.
No obstante, la responsabilidad de la ciberseguridad es informar a los órganos de gobierno de nuestras organizaciones sobre los riesgos que nos acechan y que se afronten los planes de acción de forma consensuada.
La seguridad de una infraestructura crítica es una responsabilidad compartida entre diferentes áreas
La eficiencia en los procesos también lleva a las organizaciones a maximizar el uso de proveedores de servicios, e incluso a robotizar procesos críticos. Pero se hace necesario analizar y definir las medidas de seguridad que precisan estas externalizaciones y automatizaciones para que se realicen con el adecuado nivel de rigor.
Día a día se perfilan nuevos procedimientos que mejoran la comunicación de los incidentes de seguridad y también la contención de las consecuencias y los procesos de alerta a otras organizaciones. Sin embargo, es necesario continuar trabajando y entrenando los procesos de gestión de situaciones de crisis.
Los nuevos desafíos de la innovación en nuestras organizaciones, unidos a los procesos de transformación digital, nos han permitido impulsar y emprender revolucionarios modelos de negocio y cambiar significativamente la forma en la que realizamos los procesos productivos y de negocio. No obstante, debemos mejorar y aumentar la incorporación de los aspectos de seguridad desde las etapas de diseño de las soluciones.
La gestión de las identidades se perfila de forma extraordinaria, apoyándonos en soluciones que permiten definir con granularidad las necesidades de acceso de los usuarios. Pero debemos poner más énfasis en el control de los accesos que realizan las áreas técnicas a través de cuentas con acceso privilegiado.
Imaginación
Por otro lado, cada vez somos más conscientes de la imaginación que desarrollan los atacantes. Los ciberdelincuentes se valen de técnicas de ingeniería social para robar información o producir actuaciones no deseadas, por lo que hemos de seguir protegiéndonos de ello.
Ante estas y otras situaciones de riesgos de ciberseguridad debemos continuar actuando y mejorando nuestros enfoques. En este trabajo, cada sector y organización tiene que adaptar sus procesos, puesto que no existen fórmulas mágicas.
En esencia, el enfoque a contemplar ha de considerar, al menos, tres premisas básicas. La primera de ellas es la incorporación y adopción de un sistema de gestión de riesgos continuo que nos permita actuar de forma dinámica frente a la actualización periódica de los riesgos. De esta manera se valorarán y observarán los nuevos riesgos emergentes y los nuevos vectores de ataque que se potencian.
La segunda es el trabajo en equipo, tanto en nuestra propia organización como con otros integrantes de nuestro sector, agentes y resto de intervinientes. Esta colaboración pública-privada debe articularse para contribuir a mejorar los niveles de seguridad de la organización de una forma eficiente y eficaz.
Y la tercera es la mejora en las actividades de formación y concienciación en materia de ciberseguridad para sensibilizar al personal que trabaja en este tipo de instalación y avanzar en los niveles de anticipación y prevención.
En cualquier caso, debemos seguir trabajando juntos en el despliegue y afianzamiento de este modelo. Un modelo que, sin duda, es una responsabilidad compartida, pero que nos hace menos vulnerables a las ciberamenazas en materia de ciberseguridad.